Secondo gli avvisi emessi da diverse aziende di sicurezza blockchain, Foom.Cash, un protocollo di privacy basato su Ethereum che si è posizionato come un'evoluzione del mixer autorizzato Tornado Cash, avrebbe perso circa 2,26 milioni di dollari in token dopo che un aggressore ha sfruttato una falla nel suo sistema di verifica crittografica.
L'attacco, che ha colpito contratti sia sulle reti Ethereum che Base, ha prosciugato 24.283.773.519.600 token FOOM, l'asset nativo della piattaforma, in quello che i ricercatori di sicurezza hanno descritto come un exploit imitativo che replica una vulnerabilità quasi identica presa di mira in un protocollo separato solo pochi giorni prima.
Una singola transazione sulla rete Base ha causato perdite per circa 427.000 dollari, attribuibili direttamente al malintenzionato. Le transazioni su Ethereum, per un totale di circa 1,83 milioni di dollari, sembrano essere state parte di un'operazione di salvataggio white-hat.
Come è avvenuto l'attacco?
GoPlus Security , la rete di sicurezza Web3 guidata da BinanceLabs , ha segnalato l'attacco, segnalando che una configurazione errata della chiave di verifica ha permesso all'aggressore di falsificare le prove zkSNARK. Ciò ha consentito loro di fabbricare credenziali crittografiche accettate come valide dal protocollo e quindi estrarre grandi volumi di token dai contratti compromessi.
La piattaforma di sicurezza blockchain Certik ha scritto su X : "La causa principale potrebbe essere l'impostazione delta2==gamma2 del verificatore Groth16 in 0xc043865fb4D542E2bc5ed5Ed9A2F0939965671A6. Questo consente all'aggressore di calcolare il 'pC' necessario per diversi 'nullifierHash' mentre tutti gli altri input sono gli stessi, e di raccogliere ripetutamente token ZOOM".
In breve, un protocollo il cui marketing sottolineava la quasi impossibilità di invertire le sue protezioni crittografiche è stato vanificato da una configurazione errata.
Il sistema di monitoraggio Phalcon di BlockSec , che ha rilevato transazioni sospette su entrambe le reti in tempo reale, ha dichiarato che l'incidente sembrava essere un attacco simulato. L'azienda ha osservato che l'attacco ha sfruttato la stessa causa principale precedentemente identificata nella violazione di Veil Cash, avvenuta pochi giorni prima.
Vale la pena sottolineare che la violazione di Veil Cash è stata di portata più limitata, con perdite contenute in un numero limitato di ETH, a quanto pare 2,9 ETH.
Che cos'è Foom.Cash?
Foom.Cash si posiziona come un "protocollo di lotteria privata basato su ZKProof" che combina l'anonimato di Zcash, che opera come una catena di privacy autonoma, l'accessibilità dell'ecosistema DeFi di Ethereum e un meccanismo di ricompensa randomizzato integrato.
Viene pubblicizzato come un upgrade di Tornado Cash e un'alternativa a Zcash su Ethereum. Tornado Cash è stato sanzionato dal Dipartimento del Tesoro degli Stati Uniti nel 2022, ma il dipartimento ha revocato le sanzioni sulla piattaforma nel marzo 2025.
Secondo la piattaforma, elabora più transazioni giornaliere di Tornado Cash, vanta oltre otto milioni di dollari di liquidità e genera rendimenti annuali dal 50 all'80% per i fornitori di liquidità.
La privacy nella DeFi sta riscuotendo un rinnovato interesse: negli ultimi mesi Zcash ha registrato un significativo aumento dei prezzi e Foom.Cash ha cercato di sfruttare questa tendenza offrendo la privacy in modo nativo all'interno dell'infrastruttura esistente di Ethereum.
La piattaforma utilizzava una variante specifica chiamata zkSNARKs, che è uno degli ingredienti chiave alla base delle garanzie di privacy in protocolli consolidati come Zcash.
Cosa sta facendo Foom.Cash per recuperare i fondi e risolvere l'exploit?
Finora, l'unica menzione di un recupero è legata alla seconda transazione da circa 1,83 milioni di dollari, che le società di sicurezza segnalano come parte di un'operazione di salvataggio white-hat.
Tuttavia, il team di Foom.Cash non ha ancora menzionato o riconosciuto l'attacco hacker. Pertanto, al momento in cui scriviamo, non ci sono informazioni sull'entità dell'impatto del protocollo o su cosa stia facendo il protocollo per mitigare futuri attacchi.
Il recupero whitehat suggerisce che il team potrebbe lavorare dietro le quinte per recuperare i fondi e risolvere i problemi di fondo.
Fatti notare dove conta. Pubblicizza su Cryptopolitan Research e raggiungi gli investitori e gli sviluppatori di criptovalute più abili.